该漏洞是CVE-2024-21338(CVSS评分7.8),它可导致攻击者获得系统权限,已由微软在2月补丁星期二中修复。微软指出,“要利用该漏洞,攻击者受陷必须登录系统,之后运行一个特殊构造的应用利用该漏洞并控制受影响系统。”
虽然在发布更新时并未有迹象表明CVE-2024-21338已遭活跃利用,但微软在周三将漏洞的“可利用性评估”改为“检测到利用”。目前尚不清楚攻击何时发生,但据悉该漏洞在 Windows 10 1703 (RS2/15063) 版本中引入,而也是在该版本中首次实现了 0x22A018 IOCTL(输入/输出控制)句柄。
Avast 公司发现了该漏洞的在野 admin-to-kernel 利用,表示通过武器化该漏洞实现内核读/写原语可使 Lazarus 组织“在仅数据的 FudModule rootkit的更新版本中执行直接的内核对象操纵。”
FudModule rootkit 由ESET 和 AhnLab 公司首次在2022年10月报告,它能够通过 BYOVD 攻击禁止对受感染主机上的所有安全解决方案进行监控。在这类攻击中,攻击者植入易受已知的或0day漏洞攻击的驱动来提升权限。
最近发生的攻击活动之所以影响重大是因为它“利用已知安装在目标机器上的驱动中的 0day,超过了 BYOVD的范畴”。该驱动是 appid.sys,它对于负责应用控制的 Windows 组件 AppLocker 的运行至关重要。
Lazarus 组织利用 CVE-2024-21338执行任意代码的方式绕过了所有安全检测并运行了 FudModule rootkit。安全研究员 Jan Vojtěšek 表示该恶意软件仍在活跃开发状态,“FudModule 仅松散地集成到 Lazarus 恶意软件生态系统中,Lazarus 对于使用该 rootkit 非常谨慎,仅在适当情况下按需部署。”
除了禁用系统记录器绕过检测外,FudModule 还关闭了具体的安全软件如 AhnLab V3 Endpoint Security、CrowdStrike Falcon、HitmanPro 和微软 Defender Antivirus。
这一攻击说明朝鲜黑客组织的技术复杂度上了一个台阶,它不断迭代武器库以改进隐秘性和功能,同时阻止检测,为追踪增加难度。而Lazarus 组织对跨平台的关注点也得到了证实:它利用一个恶意日历会议邀请链接偷偷在苹果 macOS 系统上安装恶意软件。
Vojtěšek 表示,“Lazarus 组织仍然是最为多产和长久的APT组织。FudModule rootkit就是最新的证明,是它武器库中最为复杂的工具之一。”
原文始发于微信公众号(代码卫士):Lazarus黑客利用Windows内核0day发动攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论